新しい拡張機能は、多数のロード バランサを備えた大規模な分散インフラストラクチャ上で運用されているサイトにも役立つ可能性があります。 委任された資格情報により、各コンテンツ配信ノードにメイン証明書の秘密キーのコピーが保存されることがなくなります。 従来のアプローチでは、HTTPS トラフィックの送信に関与するいずれかのサーバーに対する攻撃が成功すると、証明書全体が侵害されます。 秘密キーがコンテンツ配信ネットワークに転送されると、職員による妨害行為、諜報機関の行為、または CDN インフラストラクチャの侵害の結果としてデータ漏洩の脅威が生じます。
証明書の有効期間は月や年で計算されるため、キーの漏洩が検出されなかった場合、キーにアクセスした人は、長期間にわたって検出されずにサイト トラフィック (MITM) に侵入することができます。 Cloudflareは次のようにして証明書キーを保護できます。
提案されている TLS 拡張機能 Delegated Credentials では、追加の中間秘密キーが導入されており、その有効期限は数時間または数日間 (7 日以内) に制限されています。 このキーは、証明機関によって発行された証明書に基づいて生成され、元の証明書の秘密キーをコンテンツ配信サービスに対して秘密にし、有効期間が短い一時的な証明書のみをコンテンツ配信サービスに提供できるようにします。
中間キーの有効期限が切れた後のアクセスの問題を回避するために、元の TLS サーバー側で実行される自動更新テクノロジが提供されます。 生成には手動操作やスクリプトの実行は必要ありません。秘密キーを必要とする承認されたサーバーは、前のキーの有効期限が切れる前に、サイトの元の TLS サーバーに接続し、次の短期間の中間キーを生成します。
Delegated Credentials TLS 拡張機能をサポートするブラウザは、そのような派生証明書を信頼できるものとして扱います。 たとえば、指定された拡張機能のサポートは、Firefox のナイトリー ビルドとベータ版にすでに追加されており、about:config で「security.tls.enable_delegated_credentials」設定を変更することでアクティブ化できます。 XNUMX月中旬には、Firefoxのテスト版の一定割合のユーザーを対象とした実験も実施される予定だ」
Delegated Credentials の仕様は、インターネット プロトコルとアーキテクチャの開発を担当する IETF (インターネット エンジニアリング タスク フォース) 委員会に提出されており、
中間キーを生成するには、特別な X.509 拡張子を含む TLS 証明書を取得する必要があります。これは現在、DigiCert 認証局によってのみサポートされています。
出所: オープンネット.ru